In BIND 4 und 8 wurde eine Reihe von Schwachstellen entdeckt, die teilweise kritisch sind.

Betroffene Systeme

• Systeme, die BIND 4 bis Version 4.9.10 einsetzen.
• Systeme, die BIND 8.2.x bis Version 8.2.6 einsetzen.
• Systeme, die BIND 8.3.x bis Version 8.3.3 einsetzen.

Insgesamt werden im folgenden drei Schwachstellen beschrieben. Sie verteilen sich wie folgt auf die unterschiedlichen BIND-Versionen:

1. BIND 4 und BIND 8 ("SIG Cached RR Overflow Vulnerability")
2. BIND 8 ("OPT DoS")
3. BIND 8 ("IG Expiry Time DoS")

Nicht betroffene Systeme

• Systeme, die BIND 9 verwenden.

Einfallstor

1. Der Angreifer muß eine DNS-Zone kontrollieren (eine leicht zu erfüllende Voraussetzung) und die Zwischenspeicherung von Resource Records (RRs) auslösen können. Dazu ist es erforderlich, daß BIND als rekursiver Resolver betrieben wird (d.h. als DNS-Resolver für Clients). Es ist wahrscheinlich möglich, die Zwischenspeicherung auszulösen, auch wenn der Angreifer nicht direkt rekursive Anfragen stellen kann.
2. Der Angreifer muß wahrscheinlich in der Lage sein, rekursive Anfragen an den DNS-Server zu stellen, der als Resolver fungieren muß.
3. Der Angreifer muß eine DNS-Zone kontrollieren und die Zwischenspeicherung von Resource Records auslösen können.

Auswirkung

1. Ausführung von beliebigen Programmcode mit den Rechten des BIND-Serverprozesses (allzu häufig sind dies root-Rechte)
2. Denial of Service (DoS)
3. Denial of Service (DoS)

Typ der Verwundbarkeit

1. buffer overflow bug
2. buffer overflow bug
3. memory management bug

Gefahrenpotential

1. sehr hoch
2. hoch
3. hoch

Beschreibung

1. Die erste Schwachstelle betrifft laut ISC und dem Entdecker der Schwachstelle (ISS) die Zwischenspeicherung von SIG-Resource-Records durch BIND 4 und 8. Zwar werden SIG-RRs nur bei DNSSEC verwendet, es scheint aber für die Schwachstelle unerheblich zu sein, ob DNSSEC-Unterstützung in BIND 8 einkompiliert ist oder nicht.

   Diese Schwachstelle wird nur dann akut, wenn der DNS-Server als rekursiver Resolver fungiert, d.h. wenn er DNS-Anfragen von Clients beantwortet. Der Angriff ist auf jeden Fall dann möglich, wenn direkt rekursive Anfragen an den Server geschickt werden können. Es ist dann offenbar möglich, beliebigen Code auszuführen, typischerweise mit root-Rechten (remote root compromise).

2. Eine weitere Schwachstelle betrifft die Verarbeitung von EDNS-Anfragen (mit großen UDP-Paketen). Eine interne Prüfung in BIND 8 kann fehlschlagen und den Server-Prozeß beenden. Zwar steht im ISC-Advisory zu dieser Schwachstelle in der Einleitung, daß dadurch beliebiger Programmcode ausgeführt werden könne, dies ist jedoch wahrscheinlich falsch, d.h. es kann nur der BIND-Prozeß zum Absturz gebracht werden.

   Um diese Schwachstelle auszunutzen, ist es wohl erforderlich, daß BIND als rekursiver Resolver konfiguriert ist und der Angreifer rekursive Anfragen an BIND stellen kann.

3. Die letzte Schwachstelle betrifft die Zwischenspeicherung von SIG-RRs durch BIND 8. Ungültige SIG-RRs werden nicht korrekt aus dem Cache entfernt, wodurch es u.U. zur Dereferenzierung eines Null-Zeigers kommen kann. Dadurch stürzt der BIND-Server-Prozeß ab.

   Wieder muß BIND als rekursiver Resolver konfiguriert sein, damit die Schwachstelle akut wird.

Workaround

• Abschalten der Verarbeitung rekursiver Anfragen, falls dieser Dienst nicht benötigt wird.

Gegenmaßnahmen

• Einspielen der Patches von ISC. Diese Patches werden inzwischen auch von ISC uneingeschränkt verbreitet. Sie berücksichtigen auch eine ältere Schwachstelle in der BIND-4-Resolverbibliothek, die jedoch für den Server-Betrieb nicht von Belang ist.

  ISC zierte sich zunächst, diese Patches zu veröffentlichen und verteilte sie nur auf Anfrage per E-Mail an (mehr oder weniger) ausgewählte Personen. Das RUS-CERT hält es für verantwortungslos, wie diese Patches zurückgehalten wurden, zumal sie schon Anfang November einem größeren Personenkreis zugänglich gemacht wurden (jedoch nicht BIND-Distributoren wie FreeBSD).

• Upgrade auf die (angekündigten) BIND-Versionen 4.9.11, 8.2.7 und 8.3.4, die entgegen von Zusagen von ISC zum Zeitpunkt der Veröffentlichung dieser Meldung noch immer nicht verfügbar sind.

• Upgrade auf BIND 9.

  Achtung: BIND 9 ist nicht vollständig rückwärtskompatibel zu BIND 8. Die Prüfung von DNS-Zonen bei BIND 9 orientiert sich deutlicher an den RFCs und ist strenger als bei BIND 8, so daß einige Zonen sich nicht mehr laden lassen.

Vulnerability ID

• CAN-2002-1219
• CAN-2002-1220
• CAN-2002-1221

Revisionen dieser Meldung

• V1.0 (2002-11-13)
• V.1.1 (2002-11-15) ISC veröffentlicht nun ebenfalls die Patches.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/